卡巴斯基发布的EDR防护杀手，被勒索组织广泛使用

文章预览

近期，RansomHub 勒索组织一直通过利用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。 在攻破防御系统后，RansomHub 又部署了 LaZagne 凭证采集工具，试图从各种应用程序数据库中提取有助于在网络上横向移动的登录信息。 在勒索软件攻击中滥用 TDSSKiller 卡巴斯基创建的 TDSSKiller 是一种可以扫描系统是否存在 rootkit 和 bootkit 的工具，这两种恶意软件特别难以检测，而且可以躲避标准的安全工具。 EDR代理是更先进的解决方案，它们至少部分在内核级别上运行，以便监控和控制如文件访问、进程创建和网络连接等低级系统活动，从而提供针对勒索软件等威胁的实时保护。 网络安全公司 Malwarebytes 报告称，他们最近观察到 RansomHub 勒索组织滥用 TDSSKiller，使用命令行脚本或批处理文件与内核级服务交互，从而禁用机器上运行的 Ma ………………………………